EFS加密和安全应用全把握
(计算机安全专家牟春柯)
为了提高文件的安全性,微软在Windows2000/XP/2003中,针对NTFS引入了EFS加密技术。EFS加密操作非常简单,对加密文件的用户也是透明的,文件加密之后,不必在使用前手动解密,只有加密者才能打开加密文件,其他用户登陆系统后,将无法打开加密文件。
一、EFS基础
1.什么是EFS
EFS(EncryptingFileSystem,加密文件系统)是一个由Windows2000系列、WindowsXP 专业版、WindowsServer2003系列提供的透明的文件加密服务,它是以公共密钥加密为基础,使用了Windows中的CryptoAPI架构。EFS可以使文件具有机密性但不提供完整保护。EFS 提供可选的数据恢复能力,系统管理员可以恢复另一用户加密的数据。EFS也可以实现多用户(当然是被许可的用户)共享存取一个已经加密的数据。
2.EFS加密的优点
用户加密或解密文件或文件夹非常方便。
访问加密的文件快且容易。如果用户持有一个已加密的NTFS文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用,反之,用户会被拒绝对文件的访问。而并不像第三方加密软件一样在每次存取时都要求输入密码。
加密后的数据无论怎样移动都保持加密状态(前提要在NTFS分区下移动,在Windows2000/XP系统中,如果试图把一个EFS加密文件移动或复制到FAT/FAT32分区会遭到拒绝)。
EFS与NTFS紧密地集成在一起。当创建临时文件时,只要所有文件在NTFS卷上,原始文件的属性就会被复制到临时文件中。如果加密了一个文件,EFS也会将其临时文件进行加密。EFS驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。这防止了一些应用程序在创建临时文件时泄密。
通过EFS加密敏感性文件,会增加更多层级的安全性防护。在加密文件时,即使黑客已完全存取电脑的文件储存体,其文件仍然受到保护。
在WindowsXP中,EFS可处理脱机文件和文件夹。
3.EFS的技术结构与原理
(1)密钥和证书
EFS采用基于公钥的方案实现数据加密或解密,它使用标准x509证书,每一个受保护的文件都是被一个使用带有一定长度的文件加密密钥(FEK)的快速对称加密算法加密的(FEK的长度由算法或法则决定)。一个用户要访问一个已加密的文件,他必须拥有与公钥相适应的私钥。
(2)加密与解密
文件转换是加密和解密文件的过程,它需要一个特殊的接口。即使在严重的失败产生时,数据在转换过程中仍然是不会丢失的,所以,EFS会备份没经过加密的原数据直到全部转换过程都已经完成。当EFS接到转换文件的请求时,它首先进行一系列的检查,这些检查包括文件是否可以加密以及是否有足够的磁盘空间进行加密。系统文件或在系统目录中的文件时不能被EFS加密的。如果经过检查说明文件可以被加密,EFS便产生一个文件加密密钥(FEK),对于FEK加密与解密,在微软公司发布的《Windows2000的加密文件系统白皮书》中对EFS加密原理作了以下描述:
FEK加密使用一个或多个密钥加密公钥,生成一个加密的FEK列表。用户密钥对的公
共部分用来加密FEK。加密的FEK列表与加密文件一起存储在一个特殊的EFS属性中,该属性称为数据加密字段(DDF)。文件加密信息与文件紧密地捆绑在一起。用户密钥对的私有部分在解密过程中使用。FEK是通过使用密钥对的私有部分进行解密的。用户密钥对的私有部分安全地存放在别的地方,例如,智能卡或其它安全存储设备上。
FEK也使用一个或多个恢复密钥加密公钥进行加密。再者,每个密钥对的公共部分用来加密FEK。此加密的FEK列表与文件一起存储在一个特殊的EFS属性中,该属性称为数据恢复字段(DRF)。加密DRF中的FEK,只需要恢复密钥对的公共部分。在正常文件系统操作中,要求这些公共恢复密钥始终在EFS系统上。恢复本身一般很少用到,只是当用户离开公司或者丢失密钥时才使用。正因为如此,恢复代理可以将密钥的私有部分安全地存放到别的地方(智能卡或其它安全的存储设备上)。
然后,EFS将在相应的文件夹建立一个临时文件。每一个源文件数据流都以备份用途被复制到这个临时文件中,源文件被缩短并且EFS读取这个临时文件中的数据并将它们写入原始文件,由于EFS加密是透明的,因而在实际写入磁盘前,EFS便已将数据加密。当所有数据被写入原始文件以及EFS证明了文件已加密后,EFS才会删除这个临时文件。如果转换失败或转换过程中发生错误,EFS会在删除临时文件前将试图加密的文件恢复到原始状态。
(3)打开与读写原理
EFS拥有4个主要的操作:打开、读、写以及转换文件。由于EFS被设计成为透明的,对于打开、读取、写入已加密文件便与操作普通文件没有任何区别:应用程序仍然使用普通的Win32APIs。应用程序使用CreateFile()或者OpenFile()来打开已加密的文件;用ReadFile()、ReadFileEx()以及员可以修改EFS恢复策略,并且可以向恢复策略添加或创建恢复证书。
二、ESF加密文件或文件夹
1.ESF加密操作
在WindowsXP中,在“我的电脑”中打开NTFS分区的磁盘,例如,C:\。右击需要加密的文件或文件夹,单击“属性”命令,在“常规”选项卡上,单击“高级”按钮。在弹出的对话框中,选中“加密内容以便保护数据”选项。点击“确定”按钮即可。
如果你加密的是文件夹,此时会弹出一个对话框,你可以根据需要,选择仅加密此文件
夹、还是将此目录下的子文件夹和文件也一起加密。选择之后,点击“确定”按钮,最后再点击“应用”按钮完成。
标记为“系统”属性的文件,位于Window系统目录中的文件无法进行ESF加密。
在默认情况下,刚才EFS加密的文件(夹),在资源管理器中显示的颜色会变为彩色,这表示它们已经被EFS加密了。
加密后的文件夹呈绿色
如果你不喜欢图形界面的操作,还可以在命令行模式下使用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
注意:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS 分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows 的系统文件和系统文件夹无法被加密。
2.将“加密”命令添加到右键菜单中
用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。
在运行中输入“regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed分支,新建-个DWORD值,并输入“EncryptionContextMenu”作为键名,设置键值为“1”。
退出注册表编辑器,任意选中一个NTFS分区上的文件或者文件夹,然后点击鼠标右键,就可以在右键菜单中找到相应的选项,直接点击就可以完成加密解密的操作。
3.禁止加密某个文件夹
如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
[Encryption]
Disable=1
之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。
而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\EFS分支,新建-个DWORD值,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”即可。
三、保证EFS加密的安全和可靠
前面我们已经了解到,在EFS加密体系中,数据是靠FEK加密的,而FEK又会与用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。
密钥又是怎么来的呢?在Windows2000/XP中,每一个用户都有一个SID (SecurityIdentifier,安全标示符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象成人的指纹,虽然世界上已经有几十亿人(同名同姓的也有很多),可是理论上还没有哪两个人的指纹是完全相同的。因此,这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。
这一切,都保证了EFS机制的可靠。
其次,EFS机制在设计的时候就考虑到了多种突发情况的产生,因此在EFS加密系统中,还有恢复代理(RecoveryAgent)这一概念。
举例来说,公司一位员工加密了某个文件,该员工辞职了,安全起见,系统管理员直接删除了这位员工的账户。直到有一天需要用到这位职工创建的文件时才发现这些文件是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开。
对于Windows2000来说,在单机和工作组环境下,默认的恢复代理是Administrator;WindowsXP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows2000/XP计算机,默认的恢复代理全部是域管理员。
这一切,都保证了被加密数据的安全。
1.备份密钥
在运行中输入“certmgr.msc”然后回车,打开证书管理器。密钥的导出和导入工作都将在这里进行。
在你加密过文件或文件夹后,打开证书管理器,在“当前用户→个人→证书”分支中应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。右键点击这个证书,选择“所有任务→导出”命令。之后会弹出一个证书导出向导,在点击“下一步”按钮之后,在出现的对话框中选择“是,导出私钥”选项,其他选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。
输入证书文件名
在重装操作系统之后找到之前导出的pfx文件,右键点击,并选择“安装PFX”命令,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。
(2)恢复代理
我们对WindowsXP和Windows2000两种情况分别加以说明。
由于WindowsXP没有默认的恢复代理,因此我们加密数据之前最好能先指定一个默认的恢复代理(建议设置Administrator为恢复代理,虽然这个账户没有显示在欢迎屏幕上,不过确实是存在的):
首先要获得可以导入作为恢复代理的用户密钥,如果你想让Administrator成为恢复代理,就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl+Alt+Del两次,打开登录对话框,在用户名处输入Administrator,密码框中输入你安装系统时设置的Administrator 密码,然后登录。在硬盘上建立一个临时的文件,文件类型不限。这里我们以C盘根目录下的一个1.txt文本文件文件为例,建立好后在运行中输入“CMD”
然后回车,打开命令提示行窗口。在命令提示符后输入“cipher/r:c:\1.txt”,回车后系统还会询问你是否用密码把证书保护起来,你可以
根据具体情况来定,如果不需要密码保护就直接按回车。完成后我们能在C盘的根目录下找到1.txt.cer和1.txt.pfx两个文件(为了显示的清楚我在文件夹选项中设置了显示所有文件类型的扩展名,这样我们可以更清楚地了解到底生成了哪些文件)。
创建证书之后开始设置恢复代理。对于1.txt.pfx文件,同样需要用鼠标右键点击,选择“安装PFX”命令,然后按照向导的提示安装。而1.txt.cer文件则有些不同,在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置
→公钥策略→加密文件系统”选项中,右键单击该选项,选择“所有命令→添加数据恢复代理”命令,然后会出现“添加故障恢复代理向导”,按照这个向导指示打开1.txt.cer文件,如果一切无误就可以在右键菜单中看到“添加数据恢复代理程序”命令,这说明我们已经把本机的Administrator设置为故障恢复代理。
添加成功
如果你愿意,也可以设置其他用户为恢复代理。需要注意的是,你导入证书所用的1.txt.pfx和1.txt.cer是用哪个账户登录后生成的,那么导入证书后设置的恢复代理就是这位用户。
在设置了有效的恢复代理后,用恢复代理登录系统就可以直接解密文件。但如果你在设置恢复代理之前就加密过数据,那么这些数据恢复代理仍然是无法打开的。
而对于Windows2000就更加简单,Windows2000有恢复代理,因此只要用恢复代理(默认的就是Administrator)的账号登录系统,就可以解密文件。
四、破解EFS加密
可是现在网上有一款叫做AdvancedEFSDataRecovery的软件就可以破解EFS加密!不过使用该软件有个前提,那就是硬盘上要保留有相应的密钥,而且该软件目前仅能破解经过Windows2000加密的文件,对WindowsXP的加密还无法破解。你可以从网上下载该软件的试用版,试用版只能解密文件的前512字节。
现在,假设我们的Windows2000安装在C盘,事先用Administrators组的账户apple加密了一个文本文件efs1.txt。注销该账户,用同属于Administrators组的另一个账户Luck登录,直接打开1.txt文件试试,看到“访问拒绝”的错误提示了吧?这说明经过EFS加密后的文件非授权用户的确无法访问。
运行AdvancedEFSDataRecovery,在“EFSRelatedFiles”选项卡中点击右侧的“ScanForkeys”,然后指定在C盘中扫描密钥,图中显示为绿色的就是可用密钥。然后点击“Encryptedfiles”标签,再点击右侧的“Scanforencryptedfiles”按钮,在D盘上搜索所有加密文件,会得到相应的结果,其中的1.txt就是我们事先加密的文件,点击“Savefiles”按钮指定保存的位置即可。打开该文件看看,没有任何问题,该文件已经被解密了。
EFS加密的破解
注意:如果你要解密的文件比较大,那就需要使用注册版,否则无法破解。
信息加密技术研究 摘要:随着网络技术的发展,网络在提供给人们巨大方便的同时也带来了很多的安全隐患,病毒、黑客攻击以及计算机威胁事件已经司空见惯,为了使得互联网的信息能够正确有效地被人们所使用,互联网的安全就变得迫在眉睫。 关键词:网络;加密技术;安全隐患 随着网络技术的高速发展,互联网已经成为人们利用信息和资源共享的主要手段,面对这个互连的开放式的系统,人们在感叹现代网络技术的高超与便利的同时,又会面临着一系列的安全问题的困扰。如何保护计算机信息的安全,也即信息内容的保密问题显得尤为重要。 数据加密技术是解决网络安全问要采取的主要保密安全措施。是最常用的保密安全手段,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。 1加密技术 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理。使其成为不可读的一段代码,通常称为“密文”传送,到达目的地后使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径达到保护数据不被人非法窃取、修改的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。 2加密算法 信息加密是由各种加密算法实现的,传统的加密系统是以密钥为基础的,是一种对称加密,即用户使用同一个密钥加密和解密。而公钥则是一种非对称加密方法。加密者和解密者各自拥有不同的密钥,对称加密算法包括DES和IDEA;非对称加密算法包括RSA、背包密码等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法等。 2.1对称加密算法 对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄漏出去,这样就可以实现数据的机密性和完整性。对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称加密系统是有效的。DES算法是目前最为典型的对称密钥密码系统算法。 DES是一种分组密码,用专门的变换函数来加密明文。方法是先把明文按组长64bit分成若干组,然后用变换函数依次加密这些组,每次输出64bit的密文,最后将所有密文串接起来即得整个密文。密钥长度56bit,由任意56位数组成,因此数量高达256个,而且可以随时更换。使破解变得不可能,因此,DES的安全性完全依赖于对密钥的保护(故称为秘密密钥算法)。DES运算速度快,适合对大量数据的加密,但缺点是密钥的安全分发困难。 2.2非对称密钥密码体制 非对称密钥密码体制也叫公共密钥技术,该技术就是针对私钥密码体制的缺陷被提出来的。公共密钥技术利用两个密码取代常规的一个密码:其中一个公共密钥被用来加密数据,而另一个私人密钥被用来解密数据。这两个密钥在数字上相关,但即便使用许多计算机协同运算,要想从公共密钥中逆算出对应的私人密钥也是不可能的。这是因为两个密钥生成的基本原理根据一个数学计算的特性,即两个对位质数相乘可以轻易得到一个巨大的数字,但要是反过来将这个巨大的乘积数分解为组成它的两个质数,即使是超级计算机也要花很长的时间。此外,密钥对中任何一个都可用于加密,其另外一个用于解密,且密钥对中称为私人密钥的那一个只有密钥对的所有者才知道,从而人们可以把私人密钥作为其所有者的身份特征。根据公共密钥算法,已知公共密钥是不能推导出私人密钥的。最后使用公钥时,要安装此类加密程序,设定私人密钥,并由程序生成庞大的公共密钥。使用者与其向联系的人发送
龙源期刊网 https://www.doczj.com/doc/ad477103.html, 数字加密技术及其在日常中的应用 作者:苏治中 来源:《电脑知识与技术》2012年第15期 摘要:随着科学技术现代化的发展,文件、图纸等数据的保密性变得越来越重要。面对计算机通信与网络的普及,数据传输安全越来越受到重视。如何确保网络之间的文件安全交换?如何在实际网络中达到网络保密传输?该文将介绍数据加密技术的发展情况和现在通用加密技术,在实际网络中的运行应用中,如何发挥网络数据加密强大的作用。当今主要分为私有密钥系统和公开密钥系统,而目前,RSA密码系统和MD5信息摘要算法为目前主流。 关键词:数据传输安全;私有密钥系统;公开密钥系统;RSA密码系统;MD5信息摘要算法 中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)15-3668-02 Digital Encryption Technology and Daily Application SU Zhi-zhong (Guangzhou Open University,Guangzhou 510091,China) Abstract: With the development of modernization of science and technology, privacy of documents, drawings, etc data becomes more and more important. Face up to the popularity of computer communications and networking, data security becoming highly valued. How to ensure that files exchange safely on the internet In the actual network how to achieve the privacy of transmission This article will intro duce development of data encryption technology and general encryption technology at present. In the actual operation of the network ap plications, how to make the data encryption playing a strong role. There are private key system and public-key system at present,yet RSA cryptosystems and MD5 algorithm are mainline. Key words: data transmission security; private-key system; public-key system; RSA cryptosystems;MD5 algorithm 1数字加密技术产生的背景 在网络技术飞速发展的今天,计算机系统以及计算机网络,在提高了数据和设备的共享性的同时,也为确保国家机密或者企事业单位内部机密数据的安全性提出了挑战。为了保证数据的安全,许多企事业单位往往不惜成本,购入固件或软件等被动式的网络安全产品。但事实上仅仅依靠这些是远远不够的,所以引进了数字加密技术的概念确保数据的安全。 2数字加密技术的分类
详解加密技术概念加密方法以及应用 随着网络技术的发展,网络安全也就成为当今网络社会的焦点中的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客程序、炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变,无所适从。 但我们必需清楚地认识到,这一切一切的安全问题我们不可一下全部找到解决方案,况且有的是根本无法找到彻底的解决方案,如病毒程序,因为任何反病毒程序都只能在新病毒发现之后才能开发出来,目前还没有哪能一家反病毒软件开发商敢承诺他们的软件能查杀所有已知的和未知的病毒,所以我们不能有等网络安全了再上网的念头,因为或许网络不能有这么一日,就象“矛”与“盾”,网络与病毒、黑客永远是一对共存体。 现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子往来和进行合同文本的签署等。其实加密技术也不是什么新生事物,只不过应用在当今电子商务、电脑网络中还是近几年的历史。下面我们就详细介绍一下加密技术的方方面面,希望能为那些对加密技术还一知半解的朋友提供一个详细了解的机会! 一、加密的由来 加密作为保障数据安全的一种方式,它不是现在才有的,它产生的历史相当久远,它是起源于要追溯于公元前2000年(几个世纪了),虽然它不是现在我们所讲的加密技术(甚至不叫加密),但作为一种加密的概念,确实早在几个世纪前就诞生了。当时埃及人是最先使用特别的象形文字作为信息编码的,随着时间推移,巴比伦、美索不达米亚和希腊文明都开始使用一些方法来保护他们的书面信息。 近期加密技术主要应用于军事领域,如美国独立战争、美国战和两次世界大战。最广为人知的编码机器是German Enigma机,在第二次世界大战中德国人利用它创建了加密信息。此后,由于Alan Turing和Ultra计划以及其他人的努力,终于对德国人的密码进行了破解。当初,计算机的研究就是为了破解德国人的密码,人们并没有想到计算机给今天带来的信息革命。随着计算机的发展,运算能力的增强,过去的密码都变得十分简单了,于是人们又不断地研究出了新的数据加密方式,如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。 二、加密的概念 数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
数据库加密技术及其应用探讨 摘要:随着信息水平的不断提高,数据库系统所应用的范围也越来越广泛,但是所涉及的安全性问题却日益突出。因此,对数据库加密技术进行研究拥有极大的实际意义。该文首先探讨数据库加密技术,然后探讨其具体的应用,希望能以此来保证信息系统安全运行。 关键词:数据库;加密;应用 中图分类号:TP393 文献标识码:A 文章编号: 1009-3044(2015)05-0015-02 在当前的信息管理系统中包含国家政策、经济等安全级别非常高的信息,也包含一般企业的加密信息,而数据库中几乎保存了信息管理系统之中的所有信息,一旦数据库之中的数据被窃取或者是篡改,会直接影响信息系统安全性。所以,做好数据库加密,才能确保信息管理系统本身的安全性。 1 数据库加密技术中的关键问题 1.1 加密执行层次 加密数据库数据主要是包含了操作系统层、DBMS内核层与外层这三种层次。就DBMS而言,其内核与外层加密见下图1、图2所示。 1)在OS层
在OS层进行加密和解密处理,无法正确辨认数据库元素以及各个元素之间的相互关系,因此也无法产生合理密钥。在OS层中,数据库文件要么不加密,要么就会整体性加密,无法合理执行加密、解密处理。特别是大型数据库,在数据库加密与解密处理上,很难的到保障[1]。 2)DBMS内核层的加密与解密 在内核层加密与解密中,包含下述特点: 执行时间:需要在存入数据库之前或者是在取出数据库之时,也就是在物理数据进行存取之前;执行主体:通过DBMS所提供的存储过程函数执行或者是由用户定制。 过程:在数据存储中,调用加密存储过程,触发器就可以实现数据的加密处理,之后,再将密文数据存入到相应的数据库之中。在数据读取中,利用相应的存储过程,触发器就可以调用解密数据,之后将结果读出。 算法:一般是由DBMS系统提供。大多数不提供自己算法的添加接口,所以,相对而言,在选择算法会受到限制。 在实现内核层加密中,需要数据库管理系统本身操作的支持,这一种加密需要在执行物理存取之前就要做好加密与解密处理。其优点在于拥有极强的加密功能,并且DBMS不会对其产生影响,能够实现数据库管理系统与加密功能之间的相互衔接。考虑到同DBMS系统之间的紧密连接,就可以确保粒度加密本身的灵活性,再配合DBMS的授权与访问两
数据加密技术及其应用
数据加密技术及其应用 [摘要】随着计算机的发展,网络中的安全问题也日趋严重。在TCP/口协议中,传输的数据都是以明文进行传输的,所以存在固有安全缺陷,解决这一问题的重要手段就是数据加密.在现代网络通信中,人们的安全意识越来越强烈,密码学的应用也越来越广泛。本文主要介绍数据加密技术的相关技术及其应用。 【关键字】加密;密钥;虚拟专网 0引言 随着网络技术的发展,网络安全也就成为当今网络社会的焦点,几乎没有人不在谈论网络上的安全问题,病毒、黑客的猖獗使身处今日网络社会的人们感觉无所适从。现代的电脑加密技术就是适应了网络安全的需要而应运产生的,它为我们进行一般的电子商务活动提供了安全保障,如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。其实加密技术也不是什么新生事物,只不过应用在当今电子商务、电脑网络中还是近几年的历史。下面我 们就详细介绍一下数据加密技术。 1网络通信中不安全性
伪造:用户c自己伪造一份自己所希望内容的消息发给用户B,而B以为是管理员发来的,从而执行该消息的内容。 以上都是网络通信中一些不安全的例子,解决上述难题的方案就是加密,加密后的口令即使被黑客获得也是不可读的,加密后的秘文没有收件人的私钥也就无法解开。秘文成为一大堆无任何实际意义的乱码。所以加密技术就成为当今网络社会进行文件或邮件安全传输的象征! 2两种加密方法 加密技术通常分为两大类:“对称式加密”和“非对称式加密”。 对称式加密就是加密和解密使用同一个密钥,通常称之为“SessionKey”,这种加密技术目前被广泛采用,如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法,它的SessionKey长度为56Bim。 DES使用56位密钥对“位的数据块进行加密,并对“位的数据块进行16轮编码。与每轮编码时,一个48位的“每轮”密钥值由56位的完整密钥得出来。DES用软件进行解码需用很长时间,而用硬件解码速度非常快。当时DES被认
简述信息加密技术对于 保障信息安全的重要作用及应用领域 作者: 学号: 专业:计算机科学与技术 正文: 随着网络技术的发展,网络在提供给人们巨大方便的。但由于安全由于Internet本身的开放性,使的网络存在很多的安全隐患。病毒、黑客攻击以及计算机威胁事件已经司空见惯,为了使得互联网的信息能够正确有效地被人们所使用,互联网的安全就变得迫在眉睫。因此,信息加密技术对于保障信息安全尤为重要。 (1)加密技术简介 实际应用中加密技术主要有链路加密、节点加密和端对端加密等三种方式,它们分别在OSI不同层次使用加密技术。链路加密通常用硬件在物理层实现,加密设备对所有通过的数据加密,这种加密方式对用户是透明的,由网络自动逐段依次进行,用户不需要了解加密技术的细节,主要用以对信道或链路中可能被截获的部分进行保护。链路加密的全部报文都以明文形式通过各节点的处理器。在节点数据容易受到非法存取的危害。节点加密是对链路加密的改进,在协议运输层上进行加密,加密算法要组合在依附于节点的加密模块中,所以明
文数据只存在于保密模块中,克服了链路加密在节点处易遭非法存取的缺点。网络层以上的加密,通常称为端对端加密,端对端加密是把加密设备放在网络层和传输层之间或在表示层以上对传输的数据加密,用户数据在整个传输过程中以密文的形式存在。它不需要考虑网络低层,下层协议信息以明文形式传输,由于路由信息没有加密,易受监控分析。不同加密方式在网络层次中侧重点不同,网络应用中可以将链路加密或节点加密同端到端加密结合起来,可以弥补单一加密方式的不足,从而提高网络的安全性。针对网络不同层次的安全需求也制定出了不同的安全协议以便能够提供更好的加密和认证服务,每个协议都位于计算机体系结构的不同层次中。混合加密方式兼有两种密码体制的优点,从而构成了一种理想的密码方式并得到广泛的应用。在数据信息中很多时候所传输数据只是其中一小部分包含重要或关键信息,只要这部分数据安全性得到保证整个数据信息都可以认为是安全的,这种情况下可以采用部分加密方案,在数据压缩后只加密数据中的重要或关键信息部分。就可以大大减少计算时间,做到数据既能快速地传输,并且不影响准确性和完整性,尤其在实时数据传输中这种方法能起到很显著的效果。 (2)应用领域 一、信息加密技术在计算机网络安全中的应用 传统上,几种方法可以用来加密数据流,所有这些方法都可以用软件很容易的实现,当只知道密文的时候,是不容易破译这些加密算法
信息加密技术在电子商务中的应用 【摘要:】电子商务是现代社会最新才兴起的一种新型商务模式,随着网络技术与计算机技术的高速发展,对于电子商务的发展也起到了极大的推动作用,虽然电子商务快速的崛起,但是各种各样的数据安全问题也随着电子商务的发展而不断突显出来。尤其是电子商务中电子报文的机密性问题更加严重,主要靠加密来解决。本文详细阐述加密技术以及加密技术在电子商务方面的具体应用。 【关键词:】加密;电子;商务;安全 一、引言 伴随着计算机科学技术与通信网络技术的飞速发展以及广泛应用,一方面为电子商务带来极大的方便,另一方面也带来了许多亟待解决的问题,信息的安全性就是其中之一。信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。 二、信息加密技术概述 信息加密技术是指为了确保所获得的电子信息数据的完整性、真实性和可靠性,而应用某种或某些数学、物理原理,对电子数据信息在储存和传输过程进行保护,并防止信息泄漏或篡改的技术。信息加密的过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程[1]1。所以,一套完整的信息加密技术系统一般包括以下几个要素。 (1)明文:即原始的信息数据; (2)密文:经过加密后的信息数据; (3)加密方式:要加密传输中的数据流,一般采用链路加密、节点加密和端到端加密三种方式; (4)加(解)密算法:是指密文和明文之间实现置换或转换的规则和步骤,DES 算法、RSA 算法和IDEA 算法是目前信息数据通信中最为常用的三种加密算法; (5)密钥:是指信息数据加密(由明文变密文)和解密(由密文变明文)过程中使用的可变参数,它直接影响信息数据加密和解密的结果。